S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 décembre 2008
N° CERTA-2008-AVI-608
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Moodle

Gestion du document

Référence CERTA-2008-AVI-608
Titre Vulnérabilité dans Moodle
Date de la première version19 décembre 2008
Date de la dernière version23 décembre 2008
Source(s) Bulletin de mise à jour de Moodle de la version 1.9.3+

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Les versions 1.9.3 et antérieures.

Résumé

Un défaut d'initialisation de variable permet l'exécution de code arbitraire à distance.

Description

Un défaut d'initialisation de variable permet, lorsque l'option registers_global est activée, d'exécuter du code arbitraire au moyen d'une requête spécialement écrite. La dernière version de Moodle corrige la vulnérabilité et ajoute une vérification lors de l'installation qui se bloque si l'option registers_global est activée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 décembre 2008
    version initiale.
    le 23 décembre 2008
    ajout de la référence CVE et du bulletin de sécurité Debian.